全球网络武器丢失 通报机制亟待建立
资料图。
“在网络技术和应用不发达的时期,很多国家都倡导的是政府为主导的管理模式;而时至今日,一些网络技术应用比较发达的国家,更多是倡导治理的模式。”在8月31日召开的“网络空间与网络安全国际治理研讨会”上,中央网信办政策法规局副局长李长喜表示,目前网络空间治理模式已经发生了变化。
李长喜指出,管理更多是强调政府主导,社会各方作为一个次要的位置进行参与;而治理,则是基于网络空间的“三多”特点:主体的多元性、活动的多重性、行为的多样性,对网络空间采取多元主体共治的模式,这无论是在发达国家还是发展中国家,无论是理论层面还是实践层面,基本得到了国际社会的认同。
用多边通报机制捍卫网安
当前,我国的互联网安全行业快速发展,互联网在促进社会发展、方便人民生活的同时,相伴而生的网络安全威胁与日俱增。尤其是今年5月“永恒之蓝”勒索事件的爆发,致使全球150多个国家和地区受到波及。
360公司总法律顾问许坚认为,网络安全不仅影响着传统的社会领域,更影响着国防领域和国家安全领域,而我国在快速崛起的背景下已成为海外敌对势力的攻击目标,因此急需建立网络安全信息共享机制和立体化网络空间防御体系。
针对永恒之蓝勒索病毒,微软副总裁、首席法务官布拉德·史密斯曾表示,如果用传统武器打比方,这次事件相当于美国军方的战斧巡航导弹丢失。
“既然已经将网络武器的重要性提高到战斧巡航导弹的层次,一旦失窃当事国有义务向其他国家通报相关情况,让各国的政府和民众提前预警。”许坚认为,网络武器防扩散流程应尽可能前置,有必要在全球范围内构建网络武器丢失通报机制,一方面建立国与国之间的双边通报机制,另一方面尽可能在联合国框架下建立多边通报机制,共同捍卫网络空间的安全秩序。
北京师范大学刑事法律科学研究院院长赵秉志教授也认为,基于网络世界的开放性、全球互联性、网络攻击的跨国性与非对称性等特征,任何国家都很难独善其身,国际合作会成为必然的趋势。
鉴于我国在立法、司法、商业等网络治理相关实践上已走在世界前列,北京外国语大学法学院博士生导师、电子商务与网络犯罪研究中心主任王文华教授建议,我国可以基于上海合作组织、G20等平台,主导制定一些区域性的有关网络安全或网络犯罪的国际公约。
建议对“白帽子”给予保护性政策
随着网络空间多元共治成为各方的共识,如何正向发挥“白帽子”黑客(正面的黑客,可以识别计算机系统或网络系统中的安全漏洞,但不会恶意去利用,而是向厂商或相关机构去公布)的价值,让其参与到网络安全的治理与防范中也显得尤为重要。
不过,研讨会上,360法律研究院一位负责人介绍,在目前法律框架下,很多“白帽子”会面临很多法律风险,如目前我国正在征求意见的《关键信息基础设施安全保护条例》拟规定,未经授权不能扫描关键信息基础设施的漏洞,扫描本身就可能构成违法行为;另如刑法中规定的侵犯计算机系统罪,不区分行为人的主观意图,只要有这方面的行为就可能构成犯罪。
从2010年开始,国内也出现了像乌云网等漏洞报告平台,“白帽子”在发现一些互联网厂商的漏洞后,平台会按照一定的程序分批次、分等级对外进行披露,该模式尽管强化了公众对网络安全的直观认知,但自诞生以来就饱受争议。
以乌云网为例,其平台上注册的“白帽子”先后披露出京东商城、支付宝等互联网企业的漏洞,但法律风险一直如影随行。尤其是2016年,杭州的IT人士袁某,在乌云网提交了他发现的某网站系统漏洞后,被该网以“网站数据被非法窃取”为由报警。随后袁某被司法机关逮捕。目前该案尚未宣判。受该事件的影响,乌云网的业务也基本停滞。
前述360法律研究院相关负责人告诉记者,业界非常关注该案件的走向。在他看来,如果对一些善意的“白帽子”缺乏一个正向正面的引导、鼓励和激励,一些游走在“灰黑白”的边界上的“白帽子”就有可能走向黑产,将挖掘到的漏洞在黑市上交易。
该负责人介绍,目前,像美国等国家出台了很多鼓励挖掘漏洞的政策和做法,比如说攻陷五角大楼、攻克白宫,鼓励全球的“白帽子”发现和修复漏洞;此外,通过给予“白帽子”激励措施,还可以发现其他国家的黑客、“白帽子”的战术水平,进而采取更好的防范措施。
“他们其实是用了一个成本比较低的方式,既维护了网络安全,又鼓励了这些人做好事。”该负责人建议,我国可以借鉴这方面的做法,给予“白帽子”一些激励性措施,落实到法律层面上,能否在正在征求意见的《关键信息基础设施保护条例》,就“禁止未经授权的关键信息扫描”增加一个例外条款,例如为了网络安全科研、监测预警目的,又符合一定规范的扫描探测漏洞信息行为,可以免责。
本文转自d1net(转载)
